作者addy7533967 (火爆刺香肠)
看板Stock
标题[新闻] 如何挡下网攻不破防?华硕资安长曝粗暴解方:强制推行15码密
时间Fri Oct 17 18:39:40 2025
原文标题:
如何挡下网攻不破防?华硕资安长曝粗暴解方:强制推行15码密码,骇客就会「累到放手
」?
原文连结:
https://www.bnext.com.tw/article/84769/asus-cyber-attack
发布时间:2025.10.15
记者署名:邵元婷 责任编辑:李先泰
原文内容:
随着AI、量子技术的发展,资安威胁也随之不断进化。根据Check Point Software
Technologies的威胁情报部门数据显示,2025年第2季全球每周遭受网路攻击的次数平均
为1,984次,和2024年同期相比增加21%,与两年前相比更成长了58%。
其中,台湾的网路攻击情况特别严重,平均每周遭到4,055次攻击,位居亚太地区之首。
而台湾受攻击次数最多的前三大产业,依序为硬体供应商(平均每周8,139次)、政府与
军事机构(5,042次)和制造业(4,983次)。
面对日益升级的资安风险,华硕资安长金庆柏指出,早期骇客只是单纯为了炫技,到现在
演变成全球化、生态系化的「勒索即服务」的犯罪模式,攻击者已将获利模式变得更精准
化、规模化。
资安防御如今已不再是单纯的IT技术问题,而是攸关企业生存与品牌信任的战略议题。而
面对当前的资安威胁,华硕将其归纳为两大类:
威胁一:利用AI大量产出钓鱼讯息
如今,骇客不再需要花费大量时间手写恶意程式码或设计社交工程邮件。透过生成式AI,
骇客就能大规模的产出语意完美,且高度客制化的邮件或讯息,大大提升了员工被钓鱼或
社交工程攻击成功的机率。
此外,透过深度伪造(Deepfake)的影像与声音,诈骗集团也能模拟高阶主管的声音、外
貌,发动「变脸诈骗」,直接锁定财务或供应链人员,造成难以追回的巨大财损。
威胁二:针对AI系统本身的攻击
当AI模型成为企业的核心资产(例如内部知识库LLM或智慧生产系统),骇客的目标也开
始转向模型本身。例如透过恶意输入,让AI模型做出非预期的行为,甚至窃取训练数据或
机密输出。再加上近年AI代理人的兴起,只要这些能自主执行任务的AI体系被渗透,潜在
的破坏力更是不容小觑。
简单粗暴但有效的防范招式:密码升级至15码
随着生成式AI与供应链攻击日益复杂,金庆柏认为,现在企业资安遇到最困难的挑战,其
实是「人与文化」。
「企业防护做得再好,可是只要有一个员工粗心大意,就可能把公司几十年辛苦的防范,
全部化为乌有。」金庆柏强调,再复杂的技术防御,其实都可以靠预算解决,但人性的疏
忽却可能让资安防线瞬间瓦解。因此,华硕认为,资安工作的核心在於文化转变,必须建
立起全公司「保密防骇,人人有责」的集体意识。
为了让资安防护深植於企业DNA,华硕采取了各种不同的策略, 其中最让人意想不到的,
就是强制推行15码的高强度密码。 金庆柏指出,多数企业会在IT系统端下功夫,却忽略
了员工的个人装置与习惯。然而,这小小的一个举动,却是一个「便宜」却又非常有效的
方法。
金庆柏强调,只要密码从4码升级到15码的安全强度, 就够确保骇客在现有技术下需要花
上百年才能成功破解,极大地提升了资料的安全性。 「就算你把密码贴在电脑底下,我
们不鼓励,但也会比单纯4码密码安全的多,」金庆柏笑着补充,「毕竟能进到公司、办
公室偷取机密的人,就已经大大减少了。」
另外,华硕的资安长也亲自扮演「资安传教士」的角色,透过持续性的教育、训练和年度
的资安周活动,不断向全体员工宣导和传递资安意识,确保这种「人人有责」的防骇观念
,能够从上到下,真正成为华硕企业文化的一部分。
华硕怎麽应对AI带来的资安挑战?
要在AI时代安全地利用AI工具,除了公司内部资安文化的建立,一个由上而下且持续优化
的治理框架更是关键。
「没有任何企业能保证永远不发生资安事故,」金庆柏强调,企业能够不支付赎金的「底
气」,就在於是否具备强大的数位韧性,而这样的韧性,则必须具备完善的灾害备援机制
、严谨的资料分级与保密,以及能够快速恢复营运的系统能力。
策略一:灾害备援机制
备份的最终目的,是确保在数据遭到加密或破坏後,企业能随时「倒带」回去,以最快的
速度以备份的基础重建系统并恢复资料。
因此在资料保护上,金庆柏建议实施「3-2-1」的备援机制,也就是企业的关键数据「至
少要有三份副本,储存在两种不同的储存媒介上,其中一份必须存放在异地或云端」,这
样就能应对各种极端灾害。
策略二:严谨的资料分级与保密
面对AI时代的来临,华硕在2024年成立了由董事长亲自指示跨部门的GenAI委员会,负责
统筹全公司的AI技能培训,更设立了标准化的资安审查流程,要求任何部门导入第三方AI
服务都必须通过评估,从源头保障企业机密。
最关键的是,这项政策采用PDCA(计画-执行-检查-行动)循环,并严格执行「红线禁区
」,明确禁止将「机密」及以上等级的数据用於未经核可的公开AI模型,确保企业核心数
据安全。
策略三:能够快速恢复营运的系统能力
在攻击发生前,企业内部也应设有应对资安事故的标准作业流程。这套SOP必须明确纪载
事故发生後,所有部门的职责和具体应对行动。这样在被攻击後,团队也能不手忙脚乱地
一步一步照流程处理。同时,华硕也加入了FIRST等全球资安社群,确保内部团队能随时
与国际领先者同步,不断提升资安应变的成熟度。
「资安防御的最终目的,是让企业具备在风险中持续营运的能力。」金庆柏最後强调,只
有将资安从技术任务提升为全员文化,并将其视为设计与营运的核心价值,企业才能真正
的实现永续经营。
心得/评论:
看重讯时偶尔会看到有公司被骇客攻击甚至勒索
付钱能解决都还算小事,如果技术机密外流可是重伤
透过增加密码长度让骇客要攻击华硕时还要提高蒜粒
看起来华硕在资安方面已经准备好了,显着的提高公司的投资价值@v@
--
台积电福音 第一章 By资深PTT乡民
1. 你早晚要买TSM的,为什麽不要现在买?
2. TSM是你们的方舟,信者必得救。
3. Morris张 看见这许多迷惘的人,便走下山来,告诉他们,你们当轮班,信仰TSM。
4. TSM,愿你的脑机介面晶片降临,愿你的晶片在这世上,如同呼吸般自然。
5. 神爱世人,甚至将他的TSM赐给众人,叫一切信他的,不致崩跌,反得飙涨。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.248.138.240 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Stock/M.1760697583.A.C84.html
1F:推 TIPPK : 碗公奶 大家都爱 10/17 18:41
可是人家比较爱小奶>///<
2F:→ matlab1106 : 然後写在纸上放电脑旁边 10/17 18:41
※ 编辑: addy7533967 (111.248.138.240 台湾), 10/17/2025 18:42:54
3F:推 mcgrady12336: 我建议一千码啦这样骇客就会放弃,结果自己也忘记 10/17 18:43
4F:→ mcgrady12336: 真的神逻辑 10/17 18:43
5F:推 NexusPrime : 确实,15码以上加上符号数字英文各种组合,就算你 10/17 18:44
6F:→ NexusPrime : 是量子电脑也难以短时间内用暴力法试出 10/17 18:44
7F:推 dildoe : 楼下都用fido key插屁股 10/17 18:44
8F:推 labbat : 我都用密码管理器,然後管理器的密码只用四位数字 10/17 18:53
9F:推 TIPPK : 尖尖挖嘎奶 10/17 18:55
10F:推 roy2142 : 有比没有好啦 还是给推 新闻用词会让人觉得讲废话但 10/17 18:55
11F:→ roy2142 : 应该是记者问题 10/17 18:55
12F:推 apple123773 : 时代变了.... 10/17 19:00
13F:推 MA40433 : 密码长就难破,但电脑技术进步也可让更暴力破解 10/17 19:01
14F:→ MA40433 : 所以真的不是长就好 10/17 19:01
15F:推 VIP : 是这样没错 10/17 19:05
16F:推 HiuAnOP : 雀食 10/17 19:07
17F:推 SRT0619 : 那拔网线不就无敌了 10/17 19:08
18F:推 kingofsdtw : 然後密码存在云端 10/17 19:10
19F:嘘 mopa : 这个资安长很没料 10/17 19:14
20F:推 Fezico : 最变态的不是输入两次以上正确密码吗 10/17 19:16
21F:→ Fezico : 不过资安这事,使用者毛病最大。千防万防防不了使用 10/17 19:17
22F:→ Fezico : 者那颗猪脑袋 10/17 19:17
23F:推 a77942002 : 15码因为记不起来所以都写在纸本上~C 10/17 19:19
24F:→ a77942002 : 跟密码.txt 里 10/17 19:20
25F:嘘 madeinheaven: 15码密码就不会被骇??? 10/17 19:24
26F:嘘 WillChia : 可是你的股价让你家股东都破防了 10/17 19:24
27F:推 h0921023316 : iso27001的基本观念, 这执行长没技术底 10/17 19:27
28F:→ linkt0 : 123456789012345 10/17 19:41
29F:→ linkt0 : 耶破解了 10/17 19:41
30F:推 smallkop : 资安传教士赞欧 10/17 19:54
31F:推 now99 : passkey能解决 用十五码长度做啥 10/17 20:09
32F:→ DrTech : 保证公司一定有人用用Asus@0000000001,Asus@000000 10/17 20:17
33F:→ DrTech : 0002… 这些密码。 10/17 20:17
34F:推 kill2233000 : 设15码是要防止自己登入吧 10/17 20:23
35F:→ bnn : 然後键盘被声音和照相机分析就解了 10/17 20:30
36F:→ bnn : 至於15码长度其实也小事 你手机号码中间穿插字母 10/17 20:30
37F:→ bnn : 视情况再加个符号插中间也不难 10/17 20:31
38F:→ ra88872 : 设15码你是想流失客户还是想增加客户困扰,自己选一 10/17 20:32
39F:→ ra88872 : 个吧! 10/17 20:32
40F:推 bitcch : ............ 10/17 20:33
41F:推 iceonly : 15码一定是键盘找顺序按啊XD员工还帮你加到16码 10/17 20:44
42F:→ gayst : 他不会以为真的是用明码在一个一个tryㄅ 10/17 20:54
43F:→ laurakao : 密码只是资安的一小部分 10/17 21:01
44F:推 ertip : 北七一个 英数夹杂 根本猜不到 怕暴力破解是不会错 10/17 21:25
45F:→ ertip : 三次锁一小时 错10次直接锁死要找网管解 10/17 21:25
46F:推 tank44444 : pw.txt 谢谢你噢 10/17 21:43
47F:→ tank44444 : a$u$-tank/17015202,下个月换 a$u$-tank/17115202 10/17 21:46
48F:推 tank44444 : 资安的问题第一个是「人」 不是「技术」 10/17 21:49
49F:→ tank44444 : 加密勒索早就是过时的骇客获利方式了 10/17 21:51
50F:推 GivemeApen : 复杂密码到最後都嘛防自己登入 10/17 21:59
51F:推 miyazakisun2: 哇啊啊啊我破防了哇啊啊啊 10/17 22:52
52F:推 amethystboy : 5*3 10/17 23:02
53F:嘘 gxp : 有够落後的资安概念...密码长度早就不是重点了,各 10/17 23:33
54F:→ gxp : 种钓鱼和injection XSS等等方式根本防不慎防 10/17 23:33
55F:→ yunf : 太蠢了,骗骗外行人 未来你的对手根本不是人是那些 10/18 00:00
56F:→ yunf : 操控AI的人 10/18 00:00
57F:→ yunf : 如果真的那麽简单,大家都这样设就好了这种说法唯一 10/18 00:03
58F:→ yunf : 的好处就是 整个运作起来需要更好的设备才能维持原 10/18 00:03
59F:→ yunf : 有的效率 叶设备的概念 10/18 00:03
61F:推 SamuelKL : 认真的吗 10/18 00:58
62F:→ yunf : 不能说完全无效 但照做就蠢了 你觉得鸵鸟把头埋的比 10/18 01:05
63F:→ yunf : 较深一点会比较安全吗? 10/18 01:05
64F:推 vikingman : 直接导入双因子认证不就好了 不然三次就锁定也可以 10/18 04:53
65F:→ vikingman : 321备份跟pdca 都基本常识,但我相信应该都下面的处 10/18 04:55
66F:→ vikingman : 理啦 10/18 04:55
67F:嘘 mdkn35 : 骇客是用手try密码的? 10/18 07:32
68F:嘘 ksjr : 华硕没救了 10/18 09:43
69F:推 jack1218 : 朝圣 12/04 12:55